Presentazione a supporto dell'intervento di Cindy Martine Grasso, ASSOCOMPLIANCE al webinar "GOVERNANCE DELLE ORGANIZZAZIONI UNI ISO 37301:2021 - IL NUOVO SISTEMA DI GESTIONE PER LA COMPLIANCE" del 7 luglio 2021
2. Dalla ISO 19600 alla ISO 37301: l’evoluzione
del Compliance Management System (CMS)
GOVERNANCE DELLE ORGANIZZAZIONI
UNI ISO 37301:2021 - IL NUOVO SISTEMA
DI GESTIONE PER LA COMPLIANCE
UNI, 07 luglio 2021
Cindy Martine Grasso
cindymartinegrasso@gmail.com
3. Definizioni
Sistema di Gestione (MS) ➜ insieme di elementi
correlati o interagenti di un’organizzazione
finalizzato a stabilire politiche, obiettivi e
processi per conseguire tali obiettivi [HLS, 3.4]
Compliance ➜ il risultato dell'adempimento di tutti
gli obblighi di conformità dell'organizzazione [ISO
37301, 3.27]
Compliance obligations ➜ requisiti che
un'organizzazione deve obbligatoriamente rispettare e
quelli che un'organizzazione sceglie volontariamente
di rispettare [ISO 37301, 3.26]
4. La novità principale della ISO 37301: la certificazione
ISO 19600:2014 ➜ norma di sistema di gestione (MSS)
tipo B
Compliance Management Systems - Guidelines
ISO 37301:2021 ➜ norma di sistema di gestione (MSS)
tipo A
Compliance Management Systems - Requirements with
guidance for use
La certificazione del sistema di gestione per la
compliance, effettuata da un organismo di terza
parte, rappresenta una ragionevole assicurazione per gli
stakeholders di riferimento, dell’impegno e degli sforzi
profusi dall’organizzazione in tema di gestione dei
rischi di conformità.
5. Lo standard ISO 37301 è:
1. attuabile congiuntamente ad altri sistemi di
gestione (ISO 31000, ISO 37001, ISO
9001, ISO 14001, ISO/IEC 27001, ISO 26000…)
2. applicabile a qualsiasi tipologia di
organizzazione (privata, pubblica, profit, non
profit, micro, piccola, media grande…)
ISO 37301: background
La nuova norma prevede i requisiti per progettare,
stabile e mantenere, nell’ottica del miglioramento
continuo, un sistema di gestione per il controllo dei
rischi di compliance.
6. UNI ISO 37301: un sistema di gestione HLS-native
1. Comprensione del contesto dell’organizzazione
2. Leadership
3. Approccio basato sul rischio
4. Approccio per processi
5. Informazioni documentate
L’HLS rappresenta un vero e proprio DNA comune a tutti
gli ISO MSS presenti e futuri, dove le organizzazioni
sono assimilate a sistemi complessi, in continuo
adattamento al proprio contesto di riferimento,
focalizzati sul prevenire i rischi e perseguire
opportunità, più inclini al cambiamento.
7. 4 Contesto dell’organizzazione
4.1 Comprendere l’organizzazione e il suo contesto
➜ Relevant ext/int issues
• Fattori esterni
• Fattori interni
• …fattori chiave per l’organizzazione!
4.2 Comprendere le esigenze e le aspettative delle
parti interessate
➜ Compliance Obligations
• Requisiti obbligatori
• Requisiti volontari
4.3 Determinare il campo di applicazione del CMS
• Attuato nell’ambito dell’intera organizzazione
UNI ISO 37301: gli elementi chiave (key elements)(1)
8. 4.4 Sistema di gestione per la compliance
➜ Principi base
• Buona governance
• Proporzionalità
• Integrità
• Trasparenza
• Accountability
• Sostenibilità
4.5 Obblighi di compliance
➜ Compliance Obligations
• Requisiti obbligatori
• Requisiti volontari
4.6 Processo di valutazione dei rischi di compliance
➜ Compliance Risk Assessment
• Rischi intrinseci
• Rischi residui
UNI ISO 37301: gli elementi chiave (key elements)(2)
9. 5 Leadership
5.1.1 Organismo di governo e alta direzione
"Vitale" dimostrare il proprio impegno con l’esempio
5.1.2 Cultura delle compliance
➜ Compliance Culture
• Rendere pubblici i valori aziendali
• Rispettare i valori in maniera visibile
• Trattare con coerenza le noncompliance
• Guidare attraverso l’esempio
• Valutare appropriatamente le funzioni critiche
• Prevedere programmi di inserimento ed orientamento
• Erogare formazione continua a tutto il personale
• Comunicare apertamente e in maniera continua
• Valutare le prestazioni e i comportamenti
• Riconoscere visibilmente i risultati
• Intervenire prontamente in caso di noncompliance
UNI ISO 37301: gli elementi chiave (key elements)(3)
10. 5.1.3 Governance della compliance
➜ Compliance Governance
• Accesso diretto all’organismo di governo e all’alta direzione
• Indipendenza dalla struttura organizzativa
• Autorità propria con sufficienti poteri
• Staff da dirigere se necessario
• Disponibilità di risorse senza restrizioni
5.2 Politica per la compliance
➜ Compliance Policy
Stabilire i principi generali e l’impegno all’azione
dell’organizzazione
5.3 Ruoli, responsabilità e autorità
➜ Compliance function
• Organismo di governo
• Alta direzione
• Funzione di compliance
• Management
• Personale
UNI ISO 37301: gli elementi chiave (key elements)(4)
11. 6 Pianificazione
La pianificazione deve essere eseguita a livello strategico
7 Supporto
7.2.2 Processo di impiego
➜ Due Diligence
• Referenze
• Verifiche di background
7.2.3 Formazione
➜ Competenza
• Istruzione
• Formazione
• Esperienza lavorativa
UNI ISO 37301: gli elementi chiave (key elements)(5)
12. 8 Attività operative
8.1 Pianificazione e controllo operativi
➜ Operational control
• Codice di condotta
• Service-Level Agreements (SLAs)
8.2 Definizione di controlli e procedure
➜ Controlli efficaci
• Prevenire, rilevare, Correggere
8.3 Far emergere preoccupazioni
➜ Whistleblowing (ISO 37002)
8.4 Processo di indagine
➜ Accountability
• Managers
• Top management
• Governing body
UNI ISO 37301: gli elementi chiave (key elements)(6)
13. 9 Valutazione delle prestazioni
➜ Compliance Reporting
Riconoscimento di comportamenti esemplari
10 Miglioramento
➜ Lessons learned
UNI ISO 37301: gli elementi chiave (key elements)(7)
14. Conclusioni
ISO 37301➜ best practice internazionale per:
• Incrementare il valore effettivo dell’organizzazione
• Incrementare il valore percepito dagli stakeholders
• Preservare e migliorare la redditività
• Creare valore sostenibile nel lungo termine
ISO 37301➜ opportunità di miglioramento per
prestazioni e sostenibilità